Paradigm Shift раскрыла usbliter8: BootROM-уязвимость в Apple A12/A13 не закрывается обновлением

Команда Paradigm Shift Technology опубликовала исследование и PoC эксплойта usbliter8 для SecureROM устройств Apple на A12, A13 и S4/S5. Атака требует физического доступа и DFU-режима, но из-за размещения ошибки в неизменяемом коде её нельзя полностью устранить обычным обновлением ПО.

Команда Paradigm Shift Technology опубликовала техническое описание usbliter8 — эксплойта для ранней цепочки загрузки Apple SecureROM. Он подтверждён для SoC Apple A12, A13, S4 и S5; поддержка A12X/A12Z, используемых в некоторых iPad Pro, в опубликованной реализации не реализована, хотя исследователи считают её технически возможной.

К затронутым поколениям относятся iPhone XR/XS и iPhone 11, iPhone SE второго поколения, ряд iPad на A12/A13, Apple Watch Series 4/5 и Watch SE первого поколения, HomePod mini, Apple TV 4K второго поколения и Studio Display. Это не удалённая атака: злоумышленнику нужен физический доступ к устройству и перевод его в DFU (Device Firmware Update) с подключением к подготовленному USB-хосту.

Суть ошибки — сочетание аппаратного дефекта в USB-контроллере Synopsys DesignWare DWC2 и конфигурационной особенности прошивки. По описанию исследователей, обработка нестандартных USB Setup-пакетов приводит к ошибочному смещению DMA-адреса и записи в области SRAM, что в итоге позволяет получить выполнение кода на уровне SecureROM.

Такие уязвимости считаются особенно чувствительными: SecureROM записывается в чип на производстве и не перепрошивается. Paradigm Shift пишет, что наиболее эффективная мера снижения риска для затронутых устройств — переход на более новое аппаратное обеспечение; на A14 и более новых поколениях этот путь эксплуатации, по оценке исследователей, закрыт корректной настройкой DART. Команда сообщила, что раскрывала результаты совместно с Apple Product Security до публикации.